xuetr作者自己去反馈吧

抱金砖

ark工具啊......会这样提示很正常
毕竟涉及底层的工具
乃这样不知用意如何......

liulangzhecgr

wowocock 发表于 2011-10-20 09:53
你是如何知道你原来那BIOS被感染了，有有问题的备份的 BIOS吗 ？发上来看看？

上次BMW病毒出现后，我用3天时间搜索资料啊！最后狠下心运行样本。。。
当时比较 bios备份文件的md5 后才发现样本修改BIOS ，现在已经很长时间而只保留正常的备份文件，而删除被修改的文件 ！


---------------------------------------------------------------------------------------------------------------------------
在论坛只贴出md5值比较的图片，而忽略了上传文件---可惜！错过学知识的机会 。。。

wowocock

liulangzhecgr 发表于 2011-10-20 10:11
上次BMW病毒出现后，我用3天时间搜索资料啊！最后狠下心运行样本。。。
当时比较 bios备份文件的md5 后才 ...

只MD5被修改，不能说明啥，必须具体分析BIOS里的文件才知道。

dl123100

wowocock 发表于 2011-10-20 09:51
那还是可以的，毕竟在大部分情况下还是可行的，如果稳定性可以的话，建议还是加入下VMX的模式。

还有不 ...

XueTr弄两个驱动本来就没多大意义 一直没改
前段时间看到国外的NtSecureSys rootkit有类似功能 如果把另一个换成boot driver vista以后不用test signing做不到 后来还是准备直接突破NtSecureSys的验证

wowocock

dl123100 发表于 2011-10-20 10:19
XueTr弄两个驱动本来就没多大意义 一直没改
前段时间看到国外的NtSecureSys rootkit有类似功能 如果把另 ...

嗯，不错，期待中，哈哈。

基本原理

好像这些软件都是这样的！！想用就不要怕

liulangzhecgr

wowocock 发表于 2011-10-20 10:14
只MD5被修改，不能说明啥，必须具体分析BIOS里的文件才知道。

运行BMW样本前备份一份BIOS (用两款工具备份BIOS)，运行样本后，和360宣传资料相比较后...处理病毒文件以及磁盘前63个扇区！再比较BIOS备份时发现文件被修改，继续连续3天备份BIOS观察。。。发现3天观察（MD5值不变）和运行样本前的BIOS不同，狠下心用正常情况下备份文件来刷BIOS,终于把BIOS恢复到运行样本前的BIOS 。

----------------------------------------------------------------------
我对电脑不懂！被病毒感染的文件能修复，但有时不能修复到被感染前的文件一模一样!---这是在论坛混日子学的！

dl123100

wowocock 发表于 2011-10-20 10:25
嗯，不错，期待中，哈哈。

下版最近比较难出来
0.43在某些nv、raid硬盘下的bug得先解决 目前准备的解决方案把三四个专杀的方法合在一起 还没测试过
ZeroAccess新版的随机bait device 还没对抗
还有几个利用DBR的rootkit 没找到通用解决方法
还有某两个rootkit的过XueTr隐藏服务
。。。

wowocock

dl123100 发表于 2011-10-20 10:47
下版最近比较难出来
0.43在某些nv、raid硬盘下的bug得先解决 目前准备的解决方案把三四个专杀的方法合 ...

不错，值得期待
另外 几个利用DBR的rootkit 没找到通用解决方法
那几个样本发我看看吧。发到 wowocock@hotmail.com。

dl123100

wowocock 发表于 2011-10-20 10:53
不错，值得期待
另外 几个利用DBR的rootkit 没找到通用解决方法
那几个样本发我看看吧。发到 。

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=981
http://www.kernelmode.info/forum ... ;t=596&start=30
样本不在身边这台机子上 上面两个是部分样本 Cidox和TDSS的变种 出来有段时间
还有几个没有bin